Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

Organizacja podróży służbowych a RODO – rola biura podróży

Organizacja podróży służbowych a RODO

Z licznych obowiązków, które nałożyło na pracodawców Ogólne Rozporządzenie o Ochronie Danych (RODO), spore problemy sprawia prawidłowe określenie roli podmiotu, któremu w ramach współpracy przekazywane są dane osobowe pracowników.

Często pojawiają się wątpliwości czy pracodawca powinien zawrzeć umowę powierzenia z kontrahentem, czy jednak właściwym rozwiązaniem będzie udostępnienie danych pracowników. W związku z tym – czy kontrahent będzie pełnił role podmiotu przetwarzającego dane pracowników, czy stanie się ich administratorem?

W poprzednim artykule rozprawiliśmy się z kwestią przekazywania danych kontaktowych pracowników kontrahentom (artykuł znajdziesz TUTAJ)

Wskazaliśmy, że dane kontaktowe pracowników są udostępniane kontrahentom, a właściwą podstawą prawną do ich udostępnienia jest art. 6 ust. 1 lit. f) RODO – prawnie uzasadniony interes. W tym przypadku prawnie uzasadnionym interesem pracodawcy jest umożliwienie komunikacji z osobami kontaktowymi w zakresie realizacji umowy.

W dzisiejszym artykule dokonamy analizy procesu związanego z przekazywaniem danych osobowych pracowników do kontrahenta – biura podróży. Tym razem nie będą to wyłącznie dane kontaktowe pracownika, a informacje niezbędne do zorganizowania podróży służbowej.

Mając na uwadze fakt, że współpraca z podmiotami nawet z tej samej branży może odbywać się na zupełnie innych warunkach, przyjrzymy się przedstawionemu poniżej stanowi faktycznemu.

Stan faktyczny

  • Biuro podróży świadczy na rzecz Spółki XYZ usługę organizacji podróży służbowych. W związku z tym dochodzi do przekazywania danych osobowych pracowników Spółki. Lista wszystkich pracowników wgrywana jest do platformy zarządzanej przez biuro podróży i na bieżąco aktualizowana przez dedykowanego pracownika Spółki. Przekazywane są dane w następującym zakresie: imię, nazwisko, adres e-mail, stanowisko, nr pracowniczy, dane kontaktowe przełożonego, limit cenowy biletów. Uprawnienia dostępu do platformy nie są przyznawane każdemu pracownikowi, którego dane są przekazywane.
  • Spółka XYZ jako pracodawca, decyduje którzy pracownicy w ramach świadczonej pracy, będą zobowiązani do odbywania podróży służbowych, ustala kierunek podróży, termin podróży, limit cenowy na realizację usługi świadczonej przez biuro podróży.
  • W ramach współpracy biuro podróży pośredniczy lub dokonuje m. in.:
    • rezerwacji usług hotelowych
    • rezerwacji biletów lotniczych
  • Świadczenie powyższych usług, wiąże się z udostępnianiem danych osobowych pracowników przez biuro podróży hotelom i liniom lotniczym, w zakresie niezbędnym do realizacji danej usługi.

Analiza terminu „administrator danych”

W przypadku konieczności odróżnienia administratora danych od podmiotu przetwarzającego, kluczowe jest dokonanie oceny, który podmiot:
  1. podejmuje decyzję dotyczącą określonego celu, czyli tego czy, dlaczego i w jakim zakresie będą przetwarzane dane osobowe,
  2. decyduje o sposobach przetwarzania danych.

Należy zwrócić uwagę, że drugi z czynników, który kwalifikuje podmiot jako administratora, może być trudniejszy do ustalenia w praktyce.

Słusznie wskazuje się, że podmiot przetwarzający, głównie ten o dużym udziale w rynku w swojej specjalizacji, decyduje de facto o środkach, a zwłaszcza o technicznych sposobach przetwarzania i niejednokrotnie właśnie to, że dysponuje tymi środkami, jest powodem powierzenia mu przetwarzania danych.

Z kolei podejmowanie decyzji o sposobach przetwarzania, odbywa się w istocie już w momencie decydowania o powierzeniu realizacji danego procesu podmiotowi przetwarzającemu. Tym samym, decyzją o sposobach przetwarzania jest już decyzja o niesamodzielnej realizacji danego procesu.

Ocena prawna
Mając na uwadze przytoczony stan faktyczny oraz analizę terminu „administrator danych”, należy stwierdzić, że przetwarzanie przez biuro podróży danych pracowników dokonywane jest w imieniu i na polecenie Spółki XYZ.
Spółka XYZ jako administrator ustala cele oraz sposoby przetwarzania danych osobowych swoich pracowników. W analizowanym przypadku, celem powierzenia danych do biura podróży jest usprawnienie procesu organizacji podróży służbowych. Z kolei nawiązanie współpracy z konkretnym biurem podróży, które mogło zostać wybrane m. in. ze względu na posiadanie nowoczesnej platformy, ułatwiającej zarządzanie powierzanymi danymi poprzez aktualizowanie listy pracowników, świadczy o podjęciu przez Spółkę decyzji o sposobach przetwarzania danych.
W związku z powyższym, biuro podróży w odniesieniu do danych pracowników Spółki, pełnić będzie rolę podmiotu przetwarzającego.

Powierzenie danych oraz ich udostępnienie uregulowane w jednej umowie – czy to możliwe?

Ustaliliśmy już, że w przypadku współpracy Spółki XYZ z biurem podróży dochodzi do powierzenia przetwarzania danych osobowych pracowników. W takiej sytuacji art. 28 ust. 3 RODO nakłada obowiązek zawarcia umowy powierzenia lub innego instrumentu prawnego, wiążącego administratora danych – Spółkę XYZ i podmiot przetwarzający – biuro podróży.

 Jednym z obligatoryjnych elementów, które należy wskazać w umowie powierzenia, jest charakter przetwarzania. Pojęcie „charakteru” odnosi się do czynności przetwarzania, czyli operacji wykonywanych na danych oraz sposobu ich dokonywania.

Udostępnienie danych stanowi zatem jedną z form wykonywania czynności na danych osobowych – przetwarzania danych. Warto podkreślić, że z udostępnieniem danych osobowych mamy do czynienia wyłącznie wtedy, gdy odbiorcą danych jest inny administrator. W związku z tym, udostępnienie nastąpi wtedy, gdy administrator danych osobowych przekaże bądź umożliwi zapoznanie się z danymi innemu podmiotowi, a podmiot ten będzie pełnił w stosunku do tych danych rolę administratora danych. Kwestia sposobu udostępnienia danych pozostawiona została do decyzji podmiotom przekazującym dane osobowe.

W analizowanym procesie tj. organizacji podróży służbowych, biuro podróży pełniące rolę podmiotu przetwarzającego jest uprawnione do wykonywania szeregu czynności na danych osobowych pracowników, w tym udostępnienia danych w imieniu Spółki XYZ do przewoźników lotniczych i hoteli.

Wniosek

Spółka XYZ współpracuje z biurem podróży. W związku ze świadczonymi przez biuro podróży usługami Spółka powierza dane osobowe swoich pracowników. Dane powierzane są w określonym przez Spółkę celu – usprawnienia procesu organizacji podróży. Podejmując decyzję o skorzystaniu z usług konkretnego biura podróży, Społka pełniąca rolę administratora danych pracowników, ustala również sposób przetwarzania tych danych.

W związku z powyższym, biuro podróży w procesie organizacji podróży służbowych względem danych osobowych pracowników Spółki XYZ, pełni rolę podmiotu przetwarzającego. Niezbędne jest zatem zawarcie przez strony umowy powierzenia danych osobowych, w której zgodnie z art. 28 ust. 3 RODO określony zostanie: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

Pobierz artykuł w PDF

Źródła:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO);
  • Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz. WKP 2018. Red. Paweł Litwiński, Paweł Barta, Maciej Kawecki;
  • RODO Ogólne rozporządzenie o ochronie danych. Komentarz. WKP 2018. Red. Edyta Bielak- Jomaa, Dominik Lubasz.

Powiązane artykuły

Agencja Rekrutacyjna a RODO
Agencja rekrutacyjna, a RODO – jak powinna wyglądać współpraca
Przekazywanie danych do USA – Privacy Shield
Czy program „Safe Harbor” faktycznie trafił do kosza? Jak jest naprawdę?

5 Odpowiedzi

  1. Sylwia

    Witam, bardzo ciekawy artykuł. Jasno i precyzyjnie określone role poszczególnych podmiotów. Mam nadzieję na więcej takich wpisów z Państwa strony 🙂 Może następnym razem poruszą Państwo problematykę zależności między firmą ubezpieczającą, brokerem, a zakładem pracy, który zamawia ubezpieczenie właśnie poprzez brokera. Nie spotkałam się jeszcze nigdzie z interpretacją tego problemu od strony pracodawcy, wszędzie jest tylko spojrzenie na brokera od strony zakładu ubezpieczeń.

    1. Kancelaria Lex Artist

      Dzień dobry. Dziękujemy za miłą opinię! 🙂 Co do propozycji – jak mówił Jerzy Kiler “Pomyślimy…”. 😉 Pozdrawiamy!

      1. Tomek

        Dziękuję za odpowiedź,
        nurtuje mnie cel przetwarzania w interesie publicznym lub sprawowaniu władzy publicznej przez “uczelnię”.
        Pozdrawiam

Zostaw odpowiedź